モバイルデバイスを狙うランサムウェア:対策のヒント

ランサムウェアは、PCだけでなくモバイルデバイスでも勢力を拡大しています。モバイルランサムウェアのタイプ、特に広範囲に拡散しているファミリー、世界各地の被害状況、そして対策などを解説します。

ransomware-template-2-featured

先日、当ブログではPCを狙うランサムウェアについて取り上げました。しかし、ランサムウェアはPCだけでなく、モバイルデバイスでも発見されています。しかも、被害者は増加する傾向にあります。

今回は、モバイルプラットフォームを狙うランサムウェアのうち、広く蔓延しているタイプのものを何種類か紹介します。ここで取り上げる統計情報は、当社のクラウドネットワークから取得したものです。

モバイルプラットフォーム向けランサムウェアとは?

ランサムウェアが何であるかは、すでに多くの方がご存知と思います。その存在は知れ渡る一方です。PCを狙うランサムウェアの中でも、広く拡散していて最も厄介なタイプは、暗号化型でしょう。これは、データを暗号化し、身代金を支払えばデータを元に戻すと脅迫するマルウェアです。もう1つのタイプのランサムウェアである画面ロック型(ブロッカー)は、ブラウザーやOSへのアクセスをブロックし、復旧の見返りとして金銭を要求します。最近では、画面ロック型は暗号化型ほど使われなくなっています。主な理由は、暗号化型の方が効率よく金銭を巻き上げられるためです。

ところが、モバイルデバイスにおける脅威の状況は、正反対です。Androidデバイスを狙うランサムウェアには、暗号化型がほぼ存在しません。AndroidのOSやアプリは、クラウドにバックアップを作成するためです。ファイルがバックアップされていれば、身代金を支払う必要はありません。ランサムウェアの作成者にとって、Androidユーザーを攻撃するメリットがほとんどないのです。

そんなわけで、Androidデバイスへの感染手段としては、画面ロック型のほうが一般的です。画面ロック型は、各アプリの画面にランサムウェアの画面を重ねて表示するため、アプリを一切操作できなくなります。PCの場合ならば、比較的簡単に画面ロック型を除去できます。ハードディスクを取り外して別のPCにつなぎ、画面ロック型ランサムウェアのファイルを消去すればよいのです。ところがスマートフォンの場合、メインストレージがマザーボードに固定されているので、簡単には取り外せません。こうした理由から、画面ロック型がモバイルランサムウェア「市場」の99%を占めています。

小さなビッグプレイヤー

2014~2015年、モバイルランサムウェアの舞台を独占していたのはSvpeng、Pletor、Small、Fusob(英語記事)の4つです。現時点で、Pletorはほぼ活動を停止しています。Pletorの作成者は悪名高いトロイの木馬Acecardに着手し、その開発や拡散にリソースをつぎ込んだと見られます。Svpengの開発者も、銀行を標的にしたトロイの木馬の開発に主軸を移しています。こうしてSmallとFusobの2つが残り、2015~2016年には、SmallとFusobがモバイルランサムウェア市場の93%以上を占める結果となりました。

mob-ransomware-chart

モバイルランサムウェアの攻撃を受けた被害者の分布(ファミリー別): 2014年~2015年(左図)、2015~2016年(右図)

FusobとSmallに多くの共通点があることは、注目に値します。いずれも、不正行為があったとして被害者を告発する内容のメッセージを偽の警察の署名入りで表示します。罰金を支払わなければ刑事事件として捜査を開始する、と書かれている点も共通です。

FusobとSmallは、身代金の支払い方法も変わっています。FusobはiTunesギフトカードでの支払いを要求し、一方のSmallはQiwi決済システムかMoneyPak xpress Packetバウチャーでの支払いを提示します。おそらく、どちらのマルウェアもロシア語話者のサイバー犯罪者グループによって作成されたのでしょう。ただし、攻撃の展開の仕方はまったく異なります。

Fusobは最初にデバイスの使用言語を確認し、ソ連崩壊後の周辺共和国のいずれかの言語だとわかると何もしません。そうでなければ、NSA(米国家安全保障局)を騙る画面を表示し、100~200ドルの身代金を要求します。Fusobの被害者の大半(41%以上)は、ドイツ在住です。英国と米国はそれぞれ2位(14.5%)と3位(11.4%)でした。

small-fusob

続いて、Smallファミリーです。Smallの被害者の約99%は、Fusobの攻撃対象外であるロシア、カザフスタン、ウクライナの3か国の在住者です。Smallランサムウェアは政府機関を装った画面を表示し、そこには感染デバイスのロックを解除するための支払い手順、脅迫文、身代金の要求額700~3500ルーブル(10~50ドル)が記載されています。Smallには英語版もあり、FBIを装ったロック画面が表示され、約300ドルを要求します。

Smallには、このほか2つのバージョンがあります。1つは暗号化型で、攻撃の流れは最初のバージョンと同じですが、さらにデバイスのSDカード内のファイルを暗号化します。もう1つのバージョンは多機能型で、金銭の奪取、データの取得、デバイスのロックなどの機能を備えています。

現状と今後の展開

モバイルマルウェアがそれほど深刻でなかった頃から、私たちは警鐘を鳴らしてきました。そして予測どおり、この種のマルウェアは爆発的な増加を見せ、減速する気配はありません。2014年度(2014年4月~2015年3月)と2015年度(2015年4月~2016年3月)を比較すると、モバイルに対する攻撃は約4倍に増えています!

マルウェアの被害者のうち、ランサムウェアの被害者の占める割合も増えており、2.04%から4.63%と2倍以上に増加しています。2014年度、モバイルランサムウェアの主な標的は米国で、マルウェアに遭遇した被害者の10人に1人はモバイルランサムウェアの攻撃を受けていました。2015年度、ドイツとカナダでは10人に2人、英国と米国、カザフスタンではほぼ7人に1人、イタリアとオランダでは10人に1人以上がモバイルランサムウェアに遭遇しています。

モバイルマルウェアの中でも特にモバイルランサムウェアは、来年もさらに拡散することが予測されます。ランサムウェアに関する詳細な記事は、securelist.com(英語サイト)をご覧ください。

身を守るには

  1. アプリはGoogle Playなどの公式ストアからインストールしましょう。信頼できない提供元からデバイスにアプリがインストールされないよう、Androidの[設定]で[セキュリティ]を選択し、[提供元不明のアプリ]のボックスがオフになっていることを確認してください。
  2. デバイスのOSと、インストールされているアプリを定期的にアップデートしましょう。アプリは自動アップデートされるよう設定できますが、OSは手動でアップデートする必要があります。OTA(Over-The-Air)アップデートを受信したら、すぐに適用してください。
  3. 強力なセキュリティ製品を導入しましょう。アップデートをこまめに適用し、アプリのダウンロード元を公式ストアに限ったとしても、リスクが完全になくなるわけではありません。マルウェアがGoogle Playに忍び込む可能性もあれば、未知の脆弱性を突くエクスプロイトキットを介して広まる可能性もあります。モバイルランサムウェアの被害を避けるには、デバイス上で何が起きているか常時監視し、脅威が発生したらすぐに排除する、カスペルスキー インターネット セキュリティfor Androidのフル機能版(有料版)をお勧めします。また、カスペルスキー マルチプラットフォーム セキュリティは、Windows、Mac、Androidに対応する製品です。OSの異なるデバイスを複数所有している方にはこちらがお勧めです。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?